A Lei Geral de Proteção de Dados Pessoais, em vigor desde agosto/2020, estabeleceu que caberia a Autoridade Nacional de Proteção de Dados (ANPD) a edição de normas, orientações e procedimentos simplificados e diferenciados para microempresas e empresas de pequeno porte.
Diante disso, em outubro de 2021, a ANPD divulgou o Guia Orientativo de Segurança Da Informação para Agentes de Tratamento de Pequeno Porte, onde estabeleceu algumas medidas de segurança que poderão ser utilizadas com o fim de proteger os dados pessoais que estejam sob a tutela dos agentes de pequeno porte. E, além disso, divulgou, como anexo, um checklist que poderá ser utilizada internamente pelas organizações.
Vale mencionar que, embora o Guia não possua força de lei, servindo apenas para orientação aos agentes de tratamento de pequeno porte, é importante que seu provedor de internet implemente as recomendações trazidas no guia, tendo em vista que as medidas de segurança da informação são práticas fundamentais para a gestão da proteção de dados em sua empresa.
Primordialmente, o guia recomenda um elemento de boa governança, qual seja, o gerenciamento de riscos no âmbito de segurança da informação, visando as oportunidades de ganho, bem como a fim de minimizar as vulnerabilidades e perdas do tratamento de dados.
Além disso, o Guia aponta que as obrigações impostas pelos artigos 46, 47, 49 e 50 da LGPD – que tratam da segurança da informação relacionada a dados pessoais, foram baseadas em boas práticas internacionais.
Oportunamente, o cumprimento dessas obrigações poderia impactar financeiramente os agentes de tratamento de pequeno porte, tendo em vista a possível necessidade de elevado investimento, baseado na sua complexidade e especificidade.
Dessa forma, o Guia surge a fim de sugerir medidas que poderão ser adotadas pelos agentes de tratamento de pequeno porte, devendo ainda, serem complementadas com outras boas práticas que se fizerem necessárias para manter a segurança.
Nesse sentido, o Guia lista medidas administrativas, técnicas, bem como medidas relacionadas ao uso de dispositivos móveis e ao serviço em nuvem. Na Seara administrativa, o Guia orienta:
– A criação de uma Política de Segurança da Informação, visa estabelecer um conjunto de diretrizes e regras que objetivam o planejamento, a implementação e o controle de ações, relacionadas à segurança da informação na organização.
– A possibilidade de conscientização e treinamento dos funcionários, seja por meio de treinamentos e/ou campanhas de conscientização, bem como exemplifica informações úteis que podem ser repassadas, como o não compartilhamento de logins e senhas de acesso das estações de trabalho.
– Recomenda o Gerenciamento de contratos que abrange, por exemplo, implementação de termo de confidencialidade, assinado com os funcionários da empresa, a fim de que comprometam-se a não divulgar as informações confidenciais que envolvam dados pessoais.
Já que no refere-se as medidas técnicas, o Guia recomenda a utilização de controles de acesso – consistente em uma medida técnica no intuito de garantir que apenas pessoas autorizadas tenham acessos aos dados. Além disso, orientou pela segurança dos dados pessoais armazenados que pode ser entendida como um conjunto de todas as etapas mencionadas, bem como das demais que venham a contribuir, justamente, para a segurança dos dados pessoais armazenados.
No mesmo sentido, o Guia orienta para medidas a serem tomadas na Segurança das Comunicações, como, por exemplo, o gerenciamento do trafego de rede. De mesma sorte, apresenta a Manutenção de programa de gerenciamento de vulnerabilidades que, nada mais é que a recorrente análise de atualizações de versões e correções de segurança disponíveis, inclusive para aplicativos de antivírus.
Além disso, outra medida técnica trazida pelo Guia são as medidas relacionadas ao uso de dispositivos móveis que devem também ser submetidos aos mesmos procedimentos de controle de acesso que os demais equipamentos de TI, caso aqueles dispositivos sejam utilizados para fins institucionais. Recomenda-se, ainda que, sejam separados os dispositivos privados daqueles utilizados na instituição e, não sendo possível, orienta-se que aparelhos particulares não sejam utilizados para fins institucionais.
Ademais, no que refere-se às medidas relacionadas ao serviço de nuvem, o Guia recomenda pela implementação das recomendações internacionais, bem como as boas práticas de segurança da informação e a elaboração de contrato compatível com o nível de serviço, inclusive observada a avaliação do serviço fornecido em nuvem e os requisitos estabelecidos. Por fim, orienta para que os requisitos de acesso do usuário ao serviço em nuvem sejam especificados, além de que sejam utilizadas técnicas de autenticação multi fator.
Conclui-se, portanto, que o Guia visa disseminar boas práticas, bem como medidas básicas de segurança que podem ser utilizadas pelos agentes de tratamento de pequeno porte, conjuntamente com demais medidas que se fizerem necessárias e adequadas, a fim de que possam desenvolver adequadamente suas atividades referentes ao tratamento de dados pessoais.
Dra. Larissa Guidorizi de Barros – Compõe o corpo de Advogados da Gardeman & Vidotti Advogados Associados.
